Приказ

Скачать 249.58 Kb.

Название	Приказ
страница	2/3
Тип	Документы

rykovodstvo.ru > Руководство эксплуатация > Документы

1 2 3

«Организация»
ИНСТРУКЦИЯ

по обращению со средствами криптографической защиты информации

Общие положения

Настоящая Инструкция разработана в целях регламентации действий лиц, допущенных к работе со средствами криптографической защиты информации (далее – СКЗИ) в организациях, которые осуществляют работы с применением СКЗИ (далее – Организация).

Под Организацией в настоящей Инструкции понимаются органы государственной власти Республики Коми, подведомственные им организации, органы местного самоуправления Республики Коми, подведомственные им организации.

Под работами с применением СКЗИ в настоящей Инструкции понимаются защищенное подключение к информационным системам, подписание электронных документов электронной подписью и проверка подписи, шифрование файлов и т.д.

Под обращением с СКЗИ в настоящей Инструкции понимается проведение мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа.

СКЗИ должны использоваться для защиты информации ограниченного доступа (включая персональные данные), не содержащей сведений, составляющих государственную тайну.

Функции по проведению мероприятий по обеспечению безопасности хранения, обработки и передачи по каналам связи с использованием СКЗИ информации ограниченного доступа осуществляет государственное автономное учреждение Республики Коми «Центр информационных технологий» (далее – ГАУ РК «ЦИТ»).

Настоящая Инструкция в своем составе, терминах и определениях основывается на положениях «Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденной приказом ФАПСИ от 13 июня 2001 г. №152 (далее – Инструкция ФАПСИ от 13 июня 2001 г. №152), «Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ–2005)», утвержденного приказом ФСБ РФ от 9 февраля 2005 г. N 66, «Типовыми требованиями по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденными руководством 8 Центра ФСБ России 21 февраля 2008 г. №149/6/6–622.

Термины и определения

Информация ограниченного доступа – информация, доступ к которой ограничен федеральными законами;

Исходная ключевая информация – совокупность данных, предназначенных для выработки по определенным правилам криптоключей;

Ключевая информация – специальным образом организованная совокупность криптоключей, предназначенная для осуществления криптографической защиты информации в течение определенного срока;

Ключевой документ – физический носитель определенной структуры, содержащий ключевую информацию (исходную ключевую информацию), а при необходимости – контрольную, служебную и технологическую информацию;

Ключевой носитель – физический носитель определенной структуры, предназначенный для размещения на нем ключевой информации (исходной ключевой информации);

Компрометация – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, связанные с криптоключами и ключевыми носителями, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам;

Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе;

Персональный компьютер (далее – ПК) – вычислительная машина, предназначенная для эксплуатации пользователем Организации в рамках исполнения должностных обязанностей;

Пользователи СКЗИ – работники Организации, непосредственно допущенные к работе с СКЗИ;

Средство криптографической защиты информации – совокупность аппаратных и (или) программных компонентов, предназначенных для подписания электронных документов и сообщений электронной подписью, шифрования этих документов при передаче по открытым каналам, защиты информации при передаче по каналам связи, защиты информации от несанкционированного доступа при ее обработке и хранении;

Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Работа с СКЗИ

Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в помещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае, в организации должны быть обеспечены условия хранения ключевых носителей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации.

Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых носителей, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться, учитываться и храниться так же, как оригиналы.

Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно.

Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и (или) сотрудниками ГАУ РК «ЦИТ» под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями СКЗИ должна быть санкционирована ГАУ РК «ЦИТ». Организация с согласия ГАУ РК «ЦИТ» может разрешить передачу СКЗИ, документации к ним, ключевых документов между допущенными к СКЗИ лицами по актам без обязательной отметки в журнале поэкземплярного учета.

При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа со СКЗИ на данном рабочем месте должна быть прекращена и организуются мероприятия по анализу и ликвидации негативных последствий данного нарушения.

Действия в случае компрометации ключей

О нарушениях, которые могут привести к компрометации криптоключей, их составных частей или передававшейся (хранящейся) с их использованием информации ограниченного доступа, пользователи СКЗИ обязаны сообщать Ответственному за организацию работ по криптографической защите информации.

К компрометации ключей относятся следующие события:

утрата носителей ключа;
утрата иных носителей ключа с последующим обнаружением;
увольнение сотрудников, имевших доступ к ключевой информации;
возникновение подозрений на утечку информации или ее искажение;
нарушение целостности печатей на сейфах с носителями ключевой информации, если используется процедура опечатывания сейфов;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации;
утрата ключей от сейфов в момент нахождения в них носителей ключевой информации с последующим обнаружением;
доступ посторонних лиц к ключевой информации;
другие события утери доверия к ключевой документации.

Криптоключи, в отношении которых возникло подозрение в компрометации, а также действующие совместно с ними другие криптоключи необходимо немедленно вывести из действия.

Осмотр ключевых носителей многократного использования посторонними лицами не следует рассматривать как подозрение в компрометации криптоключей, если при этом исключалась возможность их чтения, копирования. В случаях недостачи, не предъявления ключевых документов, а также неопределенности их местонахождения принимаются срочные меры к их розыску.

Мероприятия по розыску и локализации последствий компрометации информации ограниченного доступа, передававшейся (хранящейся) с использованием СКЗИ, организует и осуществляет Организация (обладатель скомпрометированной информации ограниченного доступа).

Обязанности и ответственность лиц, допущенных к работе с СКЗИ

Лица, допущенные к работе с СКЗИ, обязаны:

Не разглашать информацию ограниченного доступа, к которой они допущены, в том числе сведения о криптоключах;
Сохранять носители ключевой информации и другие документы о ключах, выдаваемых с ключевыми носителями;
Соблюдать требования к обеспечению с использованием СКЗИ безопасности информации ограниченного доступа;
Сообщать в ГАУ РК «ЦИТ» о ставших ему известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним;
Немедленно уведомлять ГАУ РК «ЦИТ» о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений;
В случае необходимости производить уничтожение криптоключей и ключевых документов в соответствии с требованиями пунктов 41-46 Инструкции ФАПСИ от 13 июня 2001 г. №152 и уведомлять об этом ГАУ РК «ЦИТ»;
Не вводить номера лицензий на СКЗИ, уже вводимые на других АРМ.

Лица, допущенные к работе с СКЗИ, отвечают за исполнение своих функциональных обязанностей и сохранность информации ограниченного доступа, которая стала ему известной вследствие исполнения им своих служебных обязанностей.

Ответственность лиц, допущенных к работе с СКЗИ, за неисполнение и (или) ненадлежащее исполнение своих обязанностей, предусмотренных соответствующими инструкциями (Инструкция ответственного за организацию работ по криптографической защите информации, Инструкция пользователя СКЗИ), а также за разглашение информации ограниченного доступа, ставшей ему известной вследствие исполнения им своих служебных обязанностей, определяется действующим законодательством Российской Федерации и условиями трудового договора.

Заключительные положения

Контактная информация ГАУ РК «ЦИТ»:

Адрес: 167000, г. Сыктывкар, ул. Интернациональная, д. 108, оф. 227.

Телефон: (8212) 301-200

Сайт: http://www.test.cit.rkomi.ru

Лист ознакомления

с Инструкцией по обращению со средствами

криптографической защиты информации

(утверждена приказом от «___»_________ 20___ г. № _____)

№ п/п	ФИО	Должность	Подпись, дата

УТВЕРЖДЕНО

приказом ______________________________

от «___» ____________ 20__ года №_______

(Приложение 3)

1 2 3

	Приказ о назначении ответственного за пожарную безопасность в организации...		Министерство российской федерации по связи и информатизации приказ Представить в установленном порядке настоящий Приказ в Минюст России на государственную регистрацию
	Приказ от 1 декабря 2008 г. N 1048 о внесении изменений в приказ... Внести изменения в Приказ мвд россии от 15 марта 1999 г. N 190 "Об организации и проведении государственного технического осмотра...		Приказ №149-о от 29. 08. 2014 г Утверждена: Приказ №162/3-о от 28. 08. 2015 г Общая характеристика учебного предмета, включая ценностные ориентиры химического образования
	Приказ № фб 519 от 22. 04. 2015+Приказ №фб-336 от 04. 03. 2016 (о... ...		Приказ Приложение №1 Приложение №2 Приложение №3 Приложение №4 Приложение... Министерство Здравоохранения СССР. Приказ от 3 октября 1990г. №394. "Об утверждении положения о комплексном техническом обслуживании,...
	Приказ о назначении ответственного за пожарную безопасность в организации... Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня		Приказ о назначении ответственного за пожарную безопасность в организации... Журнал проверки производственных и вспомогательных помещений по окончании рабочего дня
	Приказ от 6 августа 2015 г. N 124н о внесении изменений в приказ... В целях совершенствования нормативно-правового регулирования в сфере бюджетной деятельности приказываю		Приказ Управлением образования была спланирована оперативная проверка «Исполнение законодательства при организации обучения граждан РФ начальным...
	Министр здравоохранения СССР приказ Утратил силу в части порядка хранения, учета, прописывания, отпуска и применения наркотических лекарственных средств (Приказ Минздрава...		Приказ №684 от 29 мая 2009 г. Об организации медицинской помощи в... О проведении Республиканской научно-практической конференции по неотложной хирургии 11
	Приказ Минфина РФ от 23. 12. 2010 №183н «Об утверждении Плана счетов... Настоящее положение разработано в соответствии и на основании следующих нормативных актов		И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...
	И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...		И атомному надзору приказ Ростехнадзора от 15 декабря 2011 г. N 714 о внесении изменений в приказ Федеральной службы по экологическому, технологическому и...

Приказ

Похожие: